js对用户输入非法字符进行编解码预防xss

最新推荐文章于 2022-09-16 16:18:44 发布
转载 最新推荐文章于 2022-09-16 16:18:44 发布 · 2.3k 阅读 · 1
文章标签:

#javascript #xss

本文介绍了两种HTML编码与解码的方法:一种是利用浏览器内置转换器,另一种是使用正则表达式。前者通过创建DOM元素并利用innerText或textContent属性进行转换;后者则直接替换特殊字符来完成编码与解码。


复制代码
 1 var HtmlUtil = {
 2     /*1.用浏览器内部转换器实现html转码*/
 3     htmlEncode:function (html){
 4         //1.首先动态创建一个容器标签元素,如DIV
 5         var temp = document.createElement ("div");
 6         //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
 7         (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.innerText = html);
 8         //3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
 9         var output = temp.innerHTML;
10         temp = null;
11         return output;
12     },
13     /*2.用浏览器内部转换器实现html解码*/
14     htmlDecode:function (text){
15         //1.首先动态创建一个容器标签元素,如DIV
16         var temp = document.createElement("div");
17         //2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
18         temp.innerHTML = text;
19         //3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
20         var output = temp.innerText || temp.textContent;
21         temp = null;
22         return output;
23     },
24     /*3.用正则表达式实现html转码*/
25     htmlEncodeByRegExp:function (str){  
26          var s = "";
27          if(str.length == 0) return "";
28          s = str.replace(/&/g,"&");
29          s = s.replace(/</g,"&lt;");
30          s = s.replace(/>/g,"&gt;");
31          s = s.replace(/ /g,"&nbsp;");
32          s = s.replace(/\'/g,"&#39;");
33          s = s.replace(/\"/g,"&quot;");
34          return s;  
35    },
36    /*4.用正则表达式实现html解码*/
37    htmlDecodeByRegExp:function (str){  
38          var s = "";
39          if(str.length == 0) return "";
40          s = str.replace(/&amp;/g,"&");
41          s = s.replace(/&lt;/g,"<");
42          s = s.replace(/&gt;/g,">");
43          s = s.replace(/&nbsp;/g," ");
44          s = s.replace(/&#39;/g,"\'");
45          s = s.replace(/&quot;/g,"\"");
46          return s;  
47    }
48 };
复制代码
防止XSS和SQL注入:后端输入验证终极方案
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-10 860
在互联网世界中,用户输入是系统与外界交互的“大门”,但这扇门也可能成为黑客的“突破口”。据OWASP(开放Web应用安全项目)2023年报告,XSS跨站脚本攻击和SQL注入连续10年稳居“Web应用十大安全漏洞”前两名,每年因这两类漏洞导致的数据泄露、系统瘫痪等事件造成的经济损失超百亿美元。XSS和SQL注入的攻击原理与典型场景为什么前端验证无法替代后端验证?后端输入验证的三大核心方法(白名单、正则、转义)从代码实现到项目落地的完整防护方案用“快递安检”故事引出输入验证的重要性。
XSS-跨站脚本攻击
m0_61858762的博客
08-17 1573
xss的初步学习
防止xss和sql注入:JS特殊字符过滤正则
lyxkgc的博客
09-16 1674
防止xss和sql注入:JS特殊字符过滤正则
如何防御xssHTML编码和JS编码
weixin_42299862的博客
07-10 1135
https://www.jianshu.com/p/c0dc4bbab8e8 <p>${content}</p> 如上述代码所示,在P标签中存在一个输出变量${content},浏览器解析的过程,首先是HTML解析,解析到P标签时,解析Content的内容,然后将其在页面显示出来。 <p><script>alert("实体XSS");</script></p> 如果我们把Content的内容换成上面内容,即script脚本,那么浏览
js[xss攻击和csrf攻击的原理以及防御措施]
墨水白云的博客
03-16 1081
原理是利用受信任网站A的登录漏洞,危险网站B通过诱导拿到登录状态的Cookie对A网站进行访问,从而达到B网站人员获取用户在A网站的各种信息与相关api操作的目的。用户通过表单输入框等手段输入js脚本,在浏览器或者服务器运行起来从而起到盗用其他用户信息,注入广告等破坏页面结构的行为手段。防御的核心无非就是限制或者对用户输入的内容进行一些专项处理之后在保存或者返回。2.csrf本身是利用网站的登录漏洞攻击xss是提供js代码注入篡改网站攻击。2.在不登出A的情况下,访问危险网站B。
(经典面试题!)用js统计用户输入字符串,求指定字符的索引及其出现的次数
一杯咖啡,一行代码
09-30 519
用户通过弹窗输入一段字符串,下面会弹出想要查找的字符,紧接着就会通过算法进行查找: 主要用到的算法如下: varArr=arr.indexOf(str); while(Arr!==-1){ alert('已查询到您想要的字符,它的索引为:'+Arr); count++; Arr=arr.indexOf(str,Arr+1); ...
JS字符
一条大河
09-28 354
JS字符串 1, 声明字符串 var str1 = '字符串1'; var str2 = String('字符串2'); var str3 = new String('字符串3'); 2, length属性 返回字符串中字符的个数 str.length 使用场景: 验证输入用户名或密码长度的合法性; eg:见代码 3, 常用函数 ...
XSS Encode
03-11
XSS Encode是针对这种攻击进行防御的一种策略,主要涉及对用户输入内容进行编码,防止其被浏览器误识别为可执行的脚本。 **XSS攻击类型** 1. **存储型XSS**:攻击者将恶意脚本存储在服务器上,当其他用户访问含有...
渗透测试:XSS漏洞定义及防护
WEL测试
12-22 1053
什么是XSS XSS(cross site script)或者说跨站脚本是一种web应用程序的漏洞,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。 跨站脚本漏洞风险 盗取用户cookie,然后伪造用户身份登录,泄露用户个人身份及用户订单信息。 操控用户浏览器,借助其他漏洞可能会导致对https加密信息的破解,导致登录传输存在安全风险。 结合浏览器及其插件漏洞,下载病毒木马到浏览器的计算机上执行。 修改页面内容
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
1. **输入验证**:对所有用户输入进行严格的验证和清理。 2. **输出编码**:对输出内容进行适当的编码,防止恶意脚本被执行。 3. **HTTP头部安全设置**:使用Content-Security-Policy等头部字段限制脚本的来源和...
edu 后台xss1
08-08
1. 对所有用户输入进行严格的验证和过滤,避免特殊字符的出现。 2. 使用HTTP头部的Content-Security-Policy来限制浏览器只执行指定来源的脚本。 3. 对输出的内容进行适当的转义,例如HTML编码,以防止恶意脚本的执行...
网页前台通过js非法字符过滤代码(骂人的话等等)
10-29
项目中如果需要过滤非法字符(你不想用户输入的任何字符)的话在前台可以使用js过滤,同样可以提高用户体验,以前都是后台过滤,这样双重过滤用户体验更好。
js控制输入字符串的个数(实例)
woallf的专栏
02-10 1082
转自:http://happysnail.org/blog/index.php/archives/433这是一个用js实现的控制输入字符串的个数的一个实例在留言板、签名等需要限制文字个数的地方可用。代码:显示:
js中操作字符串的几种常见方法
qq_43552952的博客
01-03 837
1、字符串合并操作:“ + ” var iNum01 = 12; var iNum02 = 24; var sNum03 = '12'; var sTr = 'abc'; alert(iNum01+iNum02); //弹出36 alert(iNum01+sNum03); //弹出1212 数字和字符串相加等同于字符串相加 alert(...
变量以及字符文件编码以及用户输入输出
weixin_45837954的博客
11-12 187
变量 变量是为了存储程序运算过程中的一些中间结果,为了方便日后调用 Variables变量 are used to store保存、储存 information信息 to be referenced被日后调用 and manipulated操作或更改 in a computer program程序. They also并且还 provide提供 a way方式 of labeling标记 d...
XSS原理及其预防
qq_gfq的博客
03-22 603
0x00 什么是XSSCSS(Cross Site Scripting,跨站脚本攻击),为了和层叠样式表(Cascading Style Sheet,CSS)区分,所以改为叫XSSXSS攻击能让攻击者在受害者的浏览器中执行脚本,并劫持用户会话、破坏网络或将用户重定向到其他恶意的站点。0x01 XSS原理当应用程序的网页中包含不可信的,未经恰当验证或转义的数据时,或者使用可以创建HTML或Java...
js解决汉字乱码问题(加码,解码)
fyc2008fyc的专栏
04-23 526
///字符串加码 function encode(strIn) {if(strIn ==undefined)return ""; var intLen=strIn.length; var strOut=""; var strTemp; var strFlag=""; for(var i=0;i255 || strTemp 57 && strTemp < 65) || (st...
js 正则表达式判断非法字符 常用正则表达式
cillent_boy的专栏
03-11 6387
js 正则表达式匹配非法字符 示例(此示例验证通过) var pat=new RegExp("[^a-zA-Z0-9\_\u4e00-\u9fa5]","i"); var strTest = $("#testId").val(); if(pat.test(strTest)==true) { showMess("项目名称中含有非法字符...
Javascript检测非法字符输入
02-20 2971
JS控制非法字符输入    /*  * 特殊字符在ASCII码中所表示的范围为32~48,57~65,90~97  * event.returnValue=false;设置键盘输入主false,则不能在文本框中输入内容  */  function checkComments(){  if (( event.keyCode > 32 && event.keyCode ( even
java输入框输入%,被xss拦截,对post与get请求有区别吗
最新发布
04-03
<think>嗯,用户问的是Java输入框输入%被XSS拦截,然后想知道POST和GET请求在这方面有没有区别。首先,我需要回忆一下XSS的基本原理和防御机制。XSS攻击通常是通过在输入中注入恶意脚本,当其他用户浏览时触发这些脚本。防御方法一般包括输入验证、输出编码和使用安全框架等。 用户提到输入%被拦截,可能是因为某些过滤机制将%识别为特殊字符,比如在URL编码中%用来表示十六进制值。这时候要分情况,如果是GET请求,参数是在URL里,而POST请求的参数在请求体中,处理方式可能不同。 接下来,我需要考虑GET和POST的区别。GET请求的参数在URL中可见,容易被截取,且浏览器或服务器可能对URL有长度限制和特殊字符处理。而POST请求的参数在请求体里,相对安全一些,但后端处理逻辑可能不同。 然后,XSS拦截通常发生在哪里呢?可能是在前端输入验证,或者后端对参数的过滤。如果前端用JavaScript做了过滤,那么无论GET还是POST,输入%都会被拦截。但如果是后端处理,可能要看具体的处理逻辑是否区分了GET和POST参数。例如,某些框架可能对GET参数更严格,因为URL更容易被篡改。 另外,URL编码的问题。比如,%后面跟两个十六进制数字会被解码成对应字符。如果用户输入了%后面没跟有效字符,可能被服务器拒绝或转义。但XSS过滤器可能在解析参数之前就已经处理,所以GET请求中的%可能因为URL编码问题被处理,而POST请求如果内容是表单数据,可能不会进行URL解码,除非后端主动处理。 还需要考虑不同框架的处理方式。比如Java中的Spring Security,可能对请求参数统一处理,不区分GET和POST。但如果是自定义的过滤器,可能根据请求方法做不同处理,但这种情况较少见。 可能用户遇到的情况是,输入%在GET请求中被拦截,而POST没有,或者相反。这时候需要检查过滤逻辑的具体实现,比如是否对请求参数的处理方式不同,或者是否有不同的验证规则应用到了不同的请求方法上。 总结一下,POST和GET请求在XSS拦截上的区别主要取决于后端如何处理这两种请求的参数。如果过滤逻辑统一处理所有参数,可能没区别;如果分开处理,可能会有不同结果。需要具体分析过滤器的实现。</think>关于Java输入框输入`%`被XSS拦截的问题,以及POST和GET请求的区别,以下是逐步分析: --- ### **1. XSS拦截的本质** XSS(跨站脚本攻击)拦截的核心是防止用户输入中包含可执行的恶意脚本(如`<script>`、`%3Cscript%3E`等)。过滤逻辑通常由后端框架(如Spring Security)或自定义过滤器实现,与请求类型(GET/POST)**无直接关系**,但可能因请求参数的来源不同产生差异。 --- ### **2. GET与POST请求的区别** #### **2.1 GET请求** - **参数位置**:参数直接附加在URL中(如`?key=value%25`)。 - **风险场景**: - URL中的特殊字符(如`%`)可能被浏览器或服务器自动解码(如`%` → `%25`)。 - 若后端未对URL参数严格过滤,可能绕过XSS拦截。 - **常见过滤逻辑**: - 框架可能对URL参数进行自动解码后再过滤(例如`%3C` → `<`,触发XSS规则)。 #### **2.2 POST请求** - **参数位置**:参数在请求体中(如表单数据、JSON)。 - **风险场景**: - 请求体内容通常需要显式解析(如`request.getParameter()`)。 - 若后端未对请求体参数解码(如保留原始`%`),可能直接触发过滤规则。 - **常见过滤逻辑**: - 框架可能直接检查原始输入,未解码的`%`可能被误判(如误认为URL编码尝试)。 --- ### **3. 为什么输入`%`会被拦截?** - **可能性1:URL编码规则** `%`是URL编码的标识符(如`%20`表示空格)。若输入`%`后未跟有效十六进制值(如`%GG`),某些安全框架会认为这是非法编码尝试,触发拦截。 - **可能性2:XSS过滤误判** 某些XSS过滤器可能将`%`视为潜在攻击特征(如防范`%3Cscript%3E`),即使未构成完整攻击。 --- ### **4. POST与GET的过滤差异** | **场景** | **GET请求** | **POST请求** | |-----------------------|-------------------------------------|--------------------------------------| | **参数位置** | URL | 请求体 | | **自动解码行为** | 浏览器/服务器可能自动解码URL参数 | 请求体内容通常保留原始格式(需显式解析) | | **过滤严格性** | 可能更严格(因URL暴露性高) | 可能更宽松(依赖后端显式处理) | | **绕过风险** | 更高(如双重编码`%2525` → `%`) | 更低(需手动构造请求体) | --- ### **5. 解决方案** 1. **统一过滤逻辑** 确保对GET和POST参数使用相同的过滤规则(如Spring Security的全局XSS防护)。 2. **区分处理编码** - 对GET参数:先解码再过滤(如`URLDecoder.decode()`)。 - 对POST参数:直接过滤原始输入。 3. **白名单机制** 允许合法字符(如字母、数字、`_`、`-`),严格限制`%`、`<`等特殊符号。 4. **测试验证** 分别用GET和POST发送含`%`的请求,观察拦截行为是否一致。 --- ### **6. 示例代码(Java)** ```java // 统一过滤方法(适用于GET/POST) public String sanitizeInput(String input) { return input.replaceAll("[^a-zA-Z0-9_\\-]", ""); // 移除非白名单字符 } // GET参数处理 String queryParam = request.getParameter("param"); queryParam = URLDecoder.decode(queryParam, "UTF-8"); // 先解码 queryParam = sanitizeInput(queryParam); // POST参数处理(表单数据) String formParam = request.getParameter("formParam"); formParam = sanitizeInput(formParam); // 直接过滤 ``` --- ### **结论** POST和GET请求的XSS拦截差异主要源于**参数位置**和**解码逻辑**,而非请求方法本身。为确保安全,建议在后端统一过滤逻辑,并对URL参数显式解码后再处理。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值